隨著我國社會(huì)和經(jīng)濟(jì)的高速發(fā)展,數(shù)字中國建設(shè)取得了巨大的成就���,然而諸如“大數(shù)據(jù)殺熟”���、“個(gè)人信息被濫用”等問題也悄然滋生。對(duì)此�,我國一直在凝聚各方合力加強(qiáng)公民信息安全的保護(hù),特別是2021年11月1日實(shí)施的《個(gè)人信息保護(hù)法》��,既加強(qiáng)了個(gè)人信息的保護(hù)力度�,也提高了違反個(gè)人信息保護(hù)行為的處罰力度。企業(yè)作為典型的個(gè)人信息處理者更應(yīng)時(shí)刻自律��,在人力資源管理等各項(xiàng)企業(yè)經(jīng)營管理中守住合規(guī)紅線��。滴滴因其違法違規(guī)�����、跨越法律紅線被國家互聯(lián)網(wǎng)信息辦公室懲處這件事也警示著我們��,企業(yè)人力資源管理中合規(guī)操作不僅是企業(yè)應(yīng)盡的責(zé)任��,也是必須履行的義務(wù)。
7月21日�,國家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《行政處罰法》等法律法規(guī),對(duì)滴滴全球股份有限公司處人民幣80.26億元罰款����,對(duì)滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款���。
經(jīng)查明����,滴滴公司共存在16項(xiàng)違法事實(shí)�,歸納起來主要是8個(gè)方面:(一) 違法收集用戶手機(jī)相冊(cè)中的截圖信息1196.39萬條;(二) 過度收集用戶剪切板信息��、應(yīng)用列表信息83.23億條��;(三) 過度收集乘客人臉識(shí)別信息1.07億條��、年齡段信息5350.92萬條���、職業(yè)信息 1633.56萬條��、親情關(guān)系信息138.29萬條�����、“家”和“公司”打車地址信息1.53億條����;(四) 過度收集乘客評(píng)價(jià)代駕服務(wù)時(shí)��、app后臺(tái)運(yùn)行時(shí)�、手機(jī)連接桔視記錄儀設(shè)備時(shí)的精準(zhǔn)位置(經(jīng)緯度)信息1.67億條;(五) 過度收集司機(jī)學(xué)歷信息14.29萬條�,以明文形式存儲(chǔ)司機(jī)身份證號(hào)信息5780.26萬條;(六) 在未明確告知乘客情況下分析乘客出行意圖信息539.76億條��、常駐城市信息15.38億條��、異地商務(wù)/異地旅游信息3.04億條����;(七) 在乘客使用順風(fēng)車服務(wù)時(shí)頻繁索取無關(guān)的“電話權(quán)限”(八) 未準(zhǔn)確、清晰說明用戶設(shè)備信息等19項(xiàng)個(gè)人信息處理目的�����。
此前��,網(wǎng)絡(luò)安全審查還發(fā)現(xiàn),滴滴公司存在嚴(yán)重影響國家安全的數(shù)據(jù)處理活動(dòng)���,以及拒不履行監(jiān)管部門的明確要求���,陽奉陰違、惡意逃避監(jiān)管等其他違法違規(guī)問題��。滴滴公司違法違規(guī)運(yùn)營給國家關(guān)鍵信息基礎(chǔ)設(shè)施安全和數(shù)據(jù)安全帶來嚴(yán)重安全風(fēng)險(xiǎn)隱患���。因涉及國家安全��,依法不公開���。
《個(gè)人信息保護(hù)法》下,人力資源管理如何應(yīng)對(duì)����?
《個(gè)人信息保護(hù)法》的施行,給企業(yè)的人力資源管理提出了新的要求和挑戰(zhàn)�,企業(yè)的用工管理與員工的個(gè)人信息密不可分,無論是員工入職前的簡歷篩選�、招聘錄用、背景調(diào)查,還是入職后的員工日常管理�、員工關(guān)系、薪酬福利�、勞動(dòng)合同、人事外包等等�����,個(gè)人信息的收集和處理幾乎貫穿了人力資源管理的所有環(huán)節(jié)���。
值得注意的是,不合規(guī)行為可能給企業(yè)帶來高昂的后果����,《個(gè)人信息保護(hù)法》規(guī)定,如果企業(yè)存在嚴(yán)重違法行為��,將被處五千萬元以下或者上一年度營業(yè)額百分之五以下的罰款�,并可能面臨停業(yè)整頓、吊銷營業(yè)執(zhí)照的懲罰�。如果企業(yè)人力資源管理的個(gè)人信息處理不當(dāng),可能會(huì)給企業(yè)招致勞動(dòng)爭議��、聲譽(yù)受損�,甚至更加嚴(yán)重的后果。
因此在《個(gè)人信息保護(hù)法》施行環(huán)境下��,企業(yè)如何防范個(gè)人信息管理方面的風(fēng)險(xiǎn),將成為企業(yè)人力資源管理的重中之重�,每個(gè)企業(yè)都應(yīng)該去學(xué)習(xí)和完善。對(duì)此�,我們給出了一些建議:
首先 企業(yè)人力資源管理部門應(yīng)該透徹分析法案的各項(xiàng)要求,以確定其對(duì)公司業(yè)務(wù)的影響�,并對(duì)可能存在風(fēng)險(xiǎn)的操作和業(yè)務(wù)做出調(diào)整。同時(shí)���,關(guān)注監(jiān)管部門的監(jiān)管動(dòng)態(tài)�,根據(jù)法律法規(guī)及監(jiān)管機(jī)構(gòu)的要求對(duì)相關(guān)業(yè)務(wù)進(jìn)行合規(guī)運(yùn)營�。
其次 企業(yè)人力資源管理部門可以建立合規(guī)中心,由合規(guī)中心制定內(nèi)部管理制度�、操作規(guī)則以及相關(guān)應(yīng)急方案,還可以定期進(jìn)行相關(guān)培訓(xùn)以確保相關(guān)人員熟練掌握個(gè)人信息保護(hù)政策和企業(yè)最新管理制度�。同時(shí)合規(guī)中心還可以組織定期合規(guī)審計(jì),及時(shí)發(fā)現(xiàn)并規(guī)避風(fēng)險(xiǎn)�����,保障企業(yè)的合規(guī)運(yùn)營�。
在具體人力資源管理工作中,企業(yè)可以優(yōu)先從以下工作著手:①完善招聘環(huán)節(jié)中背景調(diào)查流程���,務(wù)必要滿足告知-同意原則�;②修訂并完善公司現(xiàn)有的勞動(dòng)合同,將勞動(dòng)合同模板中存在與《個(gè)人信息保護(hù)法》相悖的部分修改或者刪除��,并增加部分新條款���,以保證未來各項(xiàng)員工管理工作的合規(guī)���;③規(guī)范對(duì)離職員工的個(gè)人信息處理方法;④對(duì)合作伙伴數(shù)據(jù)保護(hù)是否合規(guī)進(jìn)行考察����,特別是與第三方機(jī)構(gòu)合作并涉及到員工個(gè)人信息時(shí)�,一定要保證合作伙伴的規(guī)范性,以規(guī)避企業(yè)的相關(guān)風(fēng)險(xiǎn)��;⑤對(duì)跨國合作伙伴或者跨國分部提供員工信息時(shí)��,除了滿足告知-同意原則外�����,還需要查看信息是否需要國家網(wǎng)信部門的安全評(píng)估����,如需要?jiǎng)t應(yīng)該以正確的態(tài)度對(duì)待并配合執(zhí)行�����。
最后 個(gè)人信息保護(hù)的合規(guī)不是一蹴而就的�,而是一項(xiàng)長效的工作���,因此企業(yè)應(yīng)時(shí)刻自省��,結(jié)合企業(yè)的實(shí)際情況�����,不斷完善和優(yōu)化管理制度和流程����,以確保在未來的運(yùn)營中保持長期合規(guī)�。
大瀚對(duì)個(gè)人信息保護(hù)做了哪些努力?
作為一家有著23年人力資源服務(wù)經(jīng)驗(yàn)的企業(yè)��,大瀚一直以來都非常重視人力資源管理的合規(guī)操作�,特別是對(duì)客戶、候選人及內(nèi)部員工的個(gè)人信息保護(hù)上��,我們有著完善的操作體系。同時(shí)��,為了給客戶�、候選人和員工更佳的服務(wù)體驗(yàn)、更完備的個(gè)人信息安全保障���,我們也在持續(xù)不斷地完善這個(gè)體系中����,希望對(duì)大家有一定參考意義:
我們?cè)诠镜墓芾硐到y(tǒng)和業(yè)務(wù)系統(tǒng)中�,對(duì)包括但不限于個(gè)人姓名、手機(jī)號(hào)碼����、畢業(yè)院校、薪資水平等各類信息都設(shè)置了嚴(yán)格的查看權(quán)限并對(duì)相關(guān)信息進(jìn)行脫敏處理�����,且禁用了批量下載�����、導(dǎo)出等具有潛在數(shù)據(jù)泄露風(fēng)險(xiǎn)的功能�����。
我們定期對(duì)信息系統(tǒng)的各項(xiàng)功能����,尤其是涉及到個(gè)人信息及客戶信息的模塊進(jìn)行全面的安全性測(cè)試與優(yōu)化。多年來�,我們一直都以滿分水準(zhǔn)保障信息安全,這是大瀚對(duì)候選人負(fù)責(zé)��、對(duì)員工負(fù)責(zé)�,更是對(duì)客戶的負(fù)責(zé)。
我們時(shí)刻關(guān)注法律法規(guī)�,根據(jù)《個(gè)人信息保護(hù)法》的具體要求,積極開展業(yè)務(wù)流程和IT建設(shè)��,利用創(chuàng)新技術(shù)與管理方式��,持續(xù)優(yōu)化平臺(tái)和流程權(quán)限與功能�,以保證客戶和員工的個(gè)人信息的合規(guī)。我們?yōu)榇俗龊昧顺浞譁?zhǔn)備�,持續(xù)不斷的為客戶提供最優(yōu)質(zhì)的服務(wù),并確保合規(guī)��。
總 結(jié)
隨著法律法規(guī)對(duì)個(gè)人信息保護(hù)的重視�,公民的保護(hù)意識(shí)也逐步增強(qiáng)����,對(duì)企業(yè)人力資源管理各個(gè)階段來說��,確保合規(guī)操作��,保障客戶�、候選人和員工的信息安全。不僅能有效避免相關(guān)風(fēng)險(xiǎn)�����,還能建立良好的企業(yè)形象���,與客戶建立穩(wěn)固的合作關(guān)系�,同時(shí)也能吸引更多優(yōu)秀人才加入為企業(yè)賦能���,進(jìn)一步提高企業(yè)的市場(chǎng)競爭力和社會(huì)聲譽(yù)�。
人力資管理中個(gè)人信息保護(hù)的小建議
一����、候選人簡歷收集和使用
獵頭和HR通過招聘網(wǎng)站搜尋和第三方提供簡歷時(shí)����,應(yīng)當(dāng)核實(shí)個(gè)人信息是否取得了當(dāng)事人的單獨(dú)授權(quán)同意�。為了進(jìn)一步減少風(fēng)險(xiǎn)�,可要求候選人另行發(fā)送一份簡歷或在招聘系統(tǒng)中填寫個(gè)人信息。
二����、未成功入職候選人簡歷
根據(jù)最小必要原則,應(yīng)該將未成功入職者的個(gè)人信息應(yīng)及時(shí)刪除���。如果需要暫時(shí)保存簡歷�,需明確告知候選人并取得候選人明確的同意��。為了防止由于遺忘而導(dǎo)致未取得同意的情況�����,可在簡歷收集階段就告知簡歷的處理方式并取得求職者同意���。
三�����、背景調(diào)查
進(jìn)行背景調(diào)查前可要求候選人簽署同意書或授權(quán)書����。配合背調(diào)時(shí)可以幫助第三方核實(shí)當(dāng)初員工離職證明上的信息,比如員工的姓名��、身份證號(hào)碼����、職位、勞動(dòng)合同期限等�。但除此以外的信息,比如對(duì)員工的一些主觀評(píng)價(jià)���,績效這些不建議向第三方提及��,因?yàn)檫@些信息違反了必要性原則���,當(dāng)然對(duì)方可出示相應(yīng)的授權(quán)書除外。
四���、入職信息收集
根據(jù)《個(gè)人信息保護(hù)法》第十三條規(guī)定�����,“為訂立�����、履行個(gè)人作為一方當(dāng)事人的合同所必需�,或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”的信息不需要取得當(dāng)事人同意也可收集�����。然而����,對(duì)于敏感個(gè)人信息還是需要取得同意才能搜集哦,而且搜集信息也不宜過度�。
五、還應(yīng)注意的其他情況
1. 應(yīng)嚴(yán)格控制員工的權(quán)限����,對(duì)各級(jí)員工能接觸的信息分級(jí)
2. 在內(nèi)部規(guī)章制度中明確需要搜集的員工個(gè)人信息具體內(nèi)容以及使用范圍3. 員工離職后可在一定時(shí)間內(nèi)保存必要信息如姓名、住址��、戶籍�、聯(lián)系方式、績效表現(xiàn)�����、獎(jiǎng)懲記錄、休假記錄等�,但應(yīng)馬上刪除為了考勤而設(shè)置的一些人臉、指紋識(shí)別等非必要信息�����。
